iCloud

Hacker geeft Brute-Force tooltje vrij om Apple te waarschuwen voor lek in iCloud

Vanmiddag verschenen er verontrustende berichten over een tool waarmee je eenvoudig de beveiliging van een iCloud-account kan omzeilen. Hacker Prox13 heeft een tooltje gemaakt met de naam iDict waarmee je via een Brute-Force aanval het wachtwoord van een iCloud-account kan proberen te kraken. De nadruk ligt vooral op proberen omdat de tool gebruik maakt van nogal voor de hand liggende en eenvoudige wachtwoorden.

Wat wel zorgelijk is dat de tool in staat is om de aanval meerdere malen uit te voeren en daarmee ook de tweestaps-verificatie van iCloud weet te omzeilen. Volgens hacker Prox13 is zijn manier om de wachtwoorden te “raden” kinderlijk eenvoudig en de manier waarop hij de beveiliging van Apple weet te omzeilen ook.

De manier waarop de tool iDict toegang krijgt tot iCloud-accounts doet ons vooral denken aan de manier hoe vorig jaar het schandaal rond de uitgelekte iCloud naaktfoto’s is ontstaan. Toen gebruikte men software van ElcomSoft om toegang te krijgen tot de iCloud backups van nietsvermoedende celebrity’s zoals Kim Kardashian, Rihanna, en Mary Kate Olsen.

Voor de release van iDict blokkeerde Apple de toegang tot een iCloud-account als er meerdere malen een verkeerd wachtwoord was ingevoerd. De vandaag verschenen tool iDict weet die restrictie te omzeilen en kan een ongelimiteerd aantal maal proberen om een account te hacken door constant andere wachtwoorden proberen te raden. De tool maakt op dit moment gebruik van een woordenboek met veel voorkomende wachtwoorden maar zo’n tool is door een eenvoudige aanpassing ook slimmer te maken. Dat is ook precies waarom Hacker Pr0x13 de tool heeft vrijgegeven.

Pr0x13 wil met zijn tool alleen aan Apple laten zien dat het nog steeds heel simpel is om een iCloud-account te kraken. Hij hoopt dat Apple de beveiliging snel gaat aanpassen. Wij vermoeden dat Apple daar nu al mee bezig is en het gat snel gaat dichten via en patch. Tot die tijd (en daarna) is het verstandig om een goed wachtwoord te kiezen voor je iCloud-gegevens.

Update: inmiddels heeft Apple het lek al gedicht:

We are now receiving reports that the vulnerability has been patched. People trying to use the tool are apparently now being correctly locked out from repeated password attempts.

osx

Tim Cook: iCloud gebruikers krijgen over twee weken push notificatie bij misbruik van hun account

In the Wall Street Journal staat een interview met Tim Cook waar hij in gaat op de beveiliging van iCloud. Cook laat weten dat Apple binnenkort notificaties gaat sturen naar iCloud gebruikers als er vreemde dingen met hun data gebeuren. Ook gaat hij iCloud gebruikers meer wijzen op het gebruik van de twee-staps-verificatie voor hun Apple ID.

Aanleiding is het “hack” incident waarbij via iCloud volledige iCloud backups van beroemdheden zijn gedownload. Tim Cook laat weten dat iCloud gebruikers over twee weken een push notificatie krijgen als iemand een  account wachtwoord wil wijzigen of (voor het eerst) iCloud data wil restoren of downloaden.

Hiermee zijn iCloud gebruikers meteen op de hoogte als er iets vreemds aan de hand is met hun Apple ID of iCloud account. Door de notificatie kunnen ze meteen hun wachtwoord wijzigen of Apple’s security team inschakelen.

icloud

Hackers downloaden niet alleen iCloud foto’s maar volledige iCloud backups

Jonathan Zdziarski, beter bekend als hacker NerveGas heeft de metadata van de gestolen foto’s van Kate Upton bestudeerd en komt tot de conclusie dat de foto’s zijn gedownload met Elcomsoft Phone Password Breaker (EPPB) software.

key

Deze software is populair bij opsporingsdiensten om snel gegevens te verzamelen via iCloud. Als de gebruikersnaam plus wachtwoord bekend is kan je met de EPPB software een volledige iCloud backup downloaden inclusief video’s, applicatie data, contacten, text berichten etc, etc.

De EPPB software kost $399 en is voor iedereen te koop of te downloaden via torrent websites. Op het forum Anon-IB discussiëren hackers en scriptkiddies openlijk over hun iCloud aanwinsten. Dat geheime diensten bij iCloud gegevens kunnen via een achterdeur was al bekend maar nu blijkt dat iedereen dat gewoon via de voordeur van iCloud kan doen als je het Apple-ID en het wachtwoord van je slachtoffer weet en dat is bij Apple vrij eenvoudig.

Ondertussen gaat het natuurlijk om storm in een glas water want iedereen die zijn voordeur laat openstaan is kwetsbaar. Ook dit voorval heeft niets met de betrouwbaarheid van Apple of iCloud te maken. Ondertussen ligt Apple al 3 dagen onder vuur en denken veel consumenten inmiddels vast dat Apple’s iCloud zo lek is als een mandje terwijl dat niet het geval is.

apple icloud

Apple: celebrities kunnen hun naaktfoto’s gewoon veilig uploaden naar onze iCloud

Apple heeft via een persbericht een update gegeven over het onderzoek naar de gestolen naaktfoto’s van celebrities:

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

Gisteren lieten we al weten dat het vermoedelijk ging om brute-force aanvallen op Find My iPhone accounts maar dat ontkent Apple. De FBI is een onderzoek gestart en is op zoek naar de daders. Het lijkt er op dat de daders gewoon via simpele vragen via iCloud achter de Apple ID van de getroffen beroemdheden is gekomen. Dat gaat als volgt, Apple vraagt via een beveiligingsvraag om de naam van je favoriete huisdier. Als je in het geval van bijvoorbeeld Paris Hilton dan Tinkerbell invult en haar geboortedatum googlet kan het downloaden van haar foto’s daarna beginnen. Zo simpel is het.

Ondertussen is de schade aan de naam iCloud groot. De naam valt nu samen met gestolen foto’s van beroemdheden op de vooravond dat Apple een (NFC) betaalsysteem gaat introduceren via de iPhone 6. We zijn benieuwd hoe Apple het consumentenvertrouwen bij de massa weer gaat terugwinnen.

Tot slot is het verstandig om twee-staps-verificatie te gebruiken voor je Apple ID, ook als je niet beroemd bent. De twee-staps-verificatie is een extra functie voor de beveiliging voor je Apple ID om te voorkomen dat niemand toegang heeft tot je account zelfs als scriptkiddies of “hackers”  het wachtwoord weten. Hoe je de twee-staps-verificatie moet instellen kan je hier uitgebreid lezen op de Apple website.

icloud login

iCloud gehackt waarbij honderden privé foto’s van beroemdheden zijn gestolen

Beroemdheden die iCloud gebruiken als foto opslag van hun iPhone gaan een onzekere tijd tegemoet. Hackers zijn er mogelijk in geslaagd om iCloud accounts van o.a. Jennifer Lawrence, Ariana Grande, Kate Upton en nog veel meer beroemdheden te hacken. Een deel van de foto’s staan al online en naaktfoto’s of erger zijn te koop met Bitcoins via de Amerikaanse website 4chan.

De hackers gaan de komende 24 uur nog meer foto’s publiceren van celebrities zoals Kim Kardashian, Rihanna, en Mary Kate Olsen. De volledige lijst van beroemdheden die zijn gehacked staat hier. Ondertussen lijkt Jennifer Lawrence het meest getroffen want haar naakt foto’s zijn inmiddels op elke uithoek van het internet te vinden. Haar advocaat laat via email weten dat iedereen die de gestolen foto’s online zet gestraft zal worden:

“This is a flagrant violation of privacy. The authorities have been contacted and will prosecute anyone who posts the stolen photos of Jennifer Lawrence”

Daarmee is dat ook een bevestiging dat haar foto’s daadwerkelijk zijn gestolen. Maar er zijn ook woordvoerders van andere getroffen celebrities die de echtheid van de uitgelekte foto’s ontkennen.

Apple heeft nog geen reactie kunnen geven maar als iCloud daadwerkelijk is gehacked dan is dat een week voor de release van de iWatch en de iPhone 6 geen best nieuws voor Apple. Hier de bron van het nieuws met de laatste updates.

hack